Устранение неполадок DKIM

Если вы настроили DomainKeys Identified Mail (DKIM), но сообщения, отправляемые с вашего домена, по-прежнему отображаются следующим образом:

• Не проходит аутентификацию DKIM.
• Отклонено принимающими серверами
• Отправлено в папку со спамом получателей.

На этой странице

• Наиболее распространенные проблемы
• Расширенная диагностика неисправностей

Наиболее распространенные решения

• Убедитесь, что у вас есть запись DKIM.
• Добавьте запись DKIM в свой домен.
• Исправление ошибок аутентификации
• Проверьте значения записей DKIM.
• Как выглядит успех?

Убедитесь, что у вас есть запись DKIM.

Проверьте, есть ли у вас запись DKIM:

• Если вы не используете Google Workspace, воспользуйтесь инструментом, доступным в интернете.
• Если вы используете Google Workspace, выполните действия, описанные в этом разделе.

1. В консоли администратора Google перейдите в меню. Приложения Google Workspace Гмейл .

   Перейти в Gmail

   Для этого требуются права администратора в настройках Gmail .

2. Нажмите «Подтвердить адрес электронной почты» .
3. В меню «Выбранный домен» выберите домен, для которого вы хотите настроить DKIM.
4. Если значения DNS-имени хоста и TXT-записи пусты, значит, у вас нет DKIM-записи.

Чтобы создать новую запись DKIM, перейдите на страницу «Сгенерировать пару ключей DKIM» . Затем перейдите на страницу «Добавить запись DKIM в ваш домен » (на этой странице).

Добавьте запись DKIM в свой домен.

После создания записи DKIM необходимо добавить эту запись (содержащую ключ DKIM) в ваш домен.

Рекомендуемые шаги

1. Войдите в свою учетную запись хостинг-провайдера.
2. Перейдите на страницу обновления DNS TXT-записей для вашего домена.
3. Добавьте или обновите запись TXT, указав имя хоста DKIM и рекомендуемое значение.

Перейдите к разделу «Добавить ключ DKIM в ваш домен» .

Исправление ошибок аутентификации

Если после создания записи DKIM и добавления её в домен вы получаете ошибку "Аутентификация не удалась", вам необходимо завершить настройку.

Рекомендуемый шаг: перейдите на страницу аутентификации электронной почты и нажмите «Начать аутентификацию» . См. раздел «Включение и проверка DKIM» .

Проверьте значения записей DKIM.

Убедитесь, что ваша запись DKIM содержит правильное имя хоста/имя записи TXT и значение записи TXT/ключ DKIM. См. раздел «Добавление ключа DKIM в ваш домен» .

Как выглядит успех?

После создания записи DKIM, добавления этой записи в ваш домен, исправления всех ошибок аутентификации и проверки правильности значений в записи DKIM, статус DKIM должен отображаться как «Аутентификация электронной почты с помощью DKIM». Настройка завершена.

Расширенная диагностика неисправностей

• Убедитесь, что сообщения проходят аутентификацию DKIM.
• Проверьте ключ DKIM у вашего поставщика доменных услуг.
• Проверьте пересылку сообщений
• Проверьте ограничения на количество символов в текстовом файле.
• Проверьте количество подписей DKIM.
• Пересмотрите свои методы отправки электронных писем.
• Обратитесь к администраторам серверов, отклоняющих сообщения, подписанные DKIM.

Убедитесь, что сообщения проходят аутентификацию DKIM.

В Gmail можно проверить, прошло ли электронное письмо аутентификацию DKIM.

Рекомендуемые шаги:

1. Откройте Gmail в браузере.
2. Откройте электронное письмо, заголовки которого вы хотите проверить.
3. Рядом с ответом , нажмите «Подробнее» Показать оригинал .
   • В новом окне отобразится полный заголовок.
4. Нажмите «Скопировать в буфер обмена» .

Дополнительные шаги:

• Если сообщение не проходит аутентификацию DKIM, попробуйте отправить его другому получателю, например, на личный адрес Gmail. Это поможет исключить проблемы с принимающим сервером.
• Введите заголовки сообщений в инструменте Messageheader в панели администратора Google и проверьте статус DKIM.
• См. раздел «Отслеживание электронного письма с полным заголовком» и «Проверка аутентификации вашего сообщения Gmail».

Проверьте ключ DKIM у вашего поставщика доменных услуг.

Большинство записей DKIM TXT могут содержать до 255 символов. Нельзя ввести 2048-битный ключ в виде одной текстовой строки с ограничением в 255 символов в записи TXT. Ваш ключ DKIM может быть усечен, или записи DKIM могут быть отправлены в неправильном порядке.

Рекомендуемые шаги:

• Если вам не удаётся ввести всё значение записи DKIM TXT в виде одной текстовой строки, выполните действия, описанные в разделе «Проверка ограничений на количество символов в записи TXT» .
• Сравните значение записи DKIM TXT у вашего провайдера со значением в консоли администратора и убедитесь в правильности вашего ключа DKIM:
  1. Получите значение записи DKIM TXT из консоли администратора, например, google._domainkey .
  2. Перейдите в панель инструментов администратора Google и воспользуйтесь инструментом Dig .
  3. Нажмите TXT .
  4. Введите значение записи DKIM TXT из шага 1, затем добавьте точку (.) и имя вашего домена к этому значению.
  5. Сравните результаты со значением в консоли администратора. Если все ключевые символы присутствуют и расположены в правильном порядке, ключ DKIM может состоять из двух частей.

Проверьте пересылку сообщений

Даже если DKIM правильно настроен для вашего домена, пересылаемые сообщения могут не проходить проверку DKIM. Это может быть результатом того, как почтовый сервер пересылает сообщения.

Рекомендуемые действия для отправителей электронных писем:

• Убедитесь, что сообщение не было изменено во время передачи. Найдите заголовок Authentication-results :. Если рядом с записью DKIM указано «body hash did not verify», значит, сообщение было изменено во время передачи.
• Если вы используете исходящий шлюз, убедитесь, что он не изменяет исходящие сообщения до их отправки. Например, некоторые исходящие шлюзы добавляют нижний колонтитул в конец каждого исходящего сообщения. Это может привести к сбою DKIM, поскольку содержимое сообщения изменяется после его отправки.

Рекомендуемые действия для получателей электронных писем:

• Воспользуйтесь поиском по журналу электронной почты , чтобы убедиться, что сообщение было переслано. Если человек, сообщивший о сообщении как о спаме, не является первоначальным получателем, вероятно, сообщение было переслано.
• Обратитесь в службу, которая переслала сообщение, чтобы узнать, могут ли они изменить способ пересылки сообщений.

См. также Рекомендации по пересылке электронной почты в Gmail .

Проверьте ограничения на количество символов в текстовом файле.

Если при вводе значения DKIM возникает ошибка, возможно, ваш доменный провайдер ограничивает количество символов, разрешенных в записи DNS TXT.

Рекомендуемые шаги:

Если вы используете 2048-битный ключ DKIM, вы не можете ввести его в DNS-запись в виде одной текстовой строки с ограничением в 255 символов. Вместо этого выполните следующие действия:

1. Разделите символы клавиши на несколько текстовых строк.
2. Каждую строку заключите в кавычки.
3. Введите строки одну за другой в поле «Значение TXT-записи» у вашего поставщика доменных услуг.

В этом примере длинный ключ DKIM разбит на две текстовые строки, и каждая строка заключена в кавычки:

"k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAraC3pqvqTkAfXhUn7Kn3JUNMwDkZ65ftwXH58anno/bElnTDAd/idk8kWpslrQIMsvVKAe+mvmBEnpXzJL+0LgTNVTQctUujyilWvcONRd/z37I34y6WUIbFn4ytkzkdoVmeTt32f5LxegfYP4P/"

"w7QGN1mOcnE2Qd5SKIZv3Ia1p9d6uCaVGI8brE/7zM5c/zMthVPE2WZKA28+QomQDH7ludLGhXGxpc7kZZCoB5lQiP0o07Ful33fcED73BS9Bt1SNhnrs5v7oq1pIab0LEtHsFHAZmGJDjybPA7OWWaV3L814r/JfU2NK1eNu9xYJwA8YW7WosL45CSkyp4QeQIDAQAB"

Вы также можете попробовать:

• Используйте 1024-битный ключ, выбрав соответствующую опцию при генерации пары ключей DKIM .
• Обратитесь к своему хостинг-провайдеру, чтобы узнать, поддерживаются ли TXT-записи длиной более 255 символов. Если да, вы можете обновить свою DNS-запись, добавив 2048-битный ключ DKIM, следуя инструкциям в разделе «Создание пары ключей DKIM» .

Мы рекомендуем добавлять не более 49 TXT-записей у вашего провайдера доменов, поскольку это максимальное количество, поддерживаемое большинством провайдеров.

Проверьте количество подписей DKIM.

Сообщения могут быть подписаны несколькими DKIM-подписями. Однако Gmail проверяет только первые 5 подписей, перечисленных в заголовке сообщения Authentication-Results:. Gmail проверяет подписи в том порядке, в котором они указаны в заголовке. Если аутентифицирующая подпись не входит в число первых 5 подписей, перечисленных в заголовке, сообщение не проходит аутентификацию DKIM. Это также может привести к ошибке DMARC.

Чтобы проверить подписи, которые Gmail проверяет для любого сообщения, проверьте заголовок Authentication-Results: в сообщении. Подробные инструкции по проверке заголовков сообщений Gmail см. в разделе «Отслеживание электронного письма с полным заголовком» .

Пересмотрите свои методы отправки электронных писем.

Если DKIM настроен правильно, но сообщения попадают в спам, причина может быть не в DKIM.

Рекомендуемый шаг:

• Убедитесь, что вы следуете рекомендованным правилам отправки электронных писем пользователям Gmail , особенно если вы отправляете большое количество писем.

Обратитесь к администраторам серверов, отклоняющих сообщения, подписанные DKIM.

Даже если DKIM настроен правильно, принимающие серверы могут отклонять сообщения, отправленные с вашего домена, или отправлять их в папку спама получателей.

Рекомендуемые шаги:

• Обратитесь к администратору почтового сервера, который отклоняет запросы.
• Настройте DMARC, чтобы получать отчеты о результатах аутентификации DKIM. Перейдите в раздел «Настройка DMARC» .
• Если вы настраиваете DKIM с почтовой системой, отличной от Google Workspace, не используйте тег длины DKIM ( l= ) в исходящих сообщениях. Сообщения, использующие этот тег, уязвимы для злоупотреблений. Подробнее см. раздел 8.2 RFC 6376.

Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.